本发明公开了一种DDoS攻击的自动防御系统及方法,自动防御系统包括监控模块、CNAME切换模块以及黑洞路由处理模块:所述监控模块用于实时采集网络系统数据,并从所述网络系统数据中解析出受到DDoS攻击的站点和IP地址;所述监控模块还用于将解析出的站点和IP地址发送至所述CNAME切换模块,所述CNAME切换模块用于自动切换所述站点的CNAME,并将所述IP地址发送至所述黑洞路由处理模块;所述黑洞路由处理模块用于自动将所述IP地址发送至网络运营商的路由黑洞。本发明通过网络监控,可以自动化地切换CNAME和自动化地处理黑洞路由,从而实现对DDoS攻击的自动监测、快速识别和自动防御。
1.一种DDoS攻击的自动防御系统,其特征在于,包括监控模块、CNAME切换模块以及黑洞路由处理模块:所述监控模块用于实时采集网络系统数据,并从所述网络系统数据中解析出受到DDoS攻击的站点和IP地址;
所述监控模块还用于将解析出的站点和IP地址发送至所述CNAME切换模块,所述CNAME切换模块用于自动切换所述站点的CNAME,并将所述IP地址发送至所述黑洞路由处理模块;
所述黑洞路由处理模块用于自动将所述IP地址发送至网络运营商的路由黑洞;
所述监控模块还用于从所述网络系统数据中解析出DDoS攻击的攻击类型、攻击量级及攻击时间;
所述CNAME切换模块用于在判断出符合切换条件后,自动切换所述站点的CNAME;所述切换条件包括攻击量级达到支持的最大带宽。
2.如权利要求1所述的自动防御系统,其特征在于,所述监控模块还用于在监控到DDoS攻击停止时,调用所述CNAME切换模块自动执行回切操作,并调用所述黑洞路由处理模块自动将所述IP地址从所述路由黑洞中恢复正常。
3.如权利要求1所述的自动防御系统,其特征在于,所述监控模块还用于通过网页展示受到DDoS攻击的站点和IP地址、DDoS攻击的攻击类型、攻击量级及攻击时间。
4.一种DDoS攻击的自动防御方法,其特征在于,其利用如权利要求1所述的自动防御系统实现,包括以下步骤:S1、所述监控模块实时采集网络系统数据,并从所述网络系统数据中解析出受到DDoS攻击的站点和IP地址,并将解析出的站点和IP地址发送至所述CNAME切换模块;
S2、所述CNAME切换模块自动切换所述站点的CNAME,并将所述IP地址发送至所述黑洞路由处理模块;
S3、所述黑洞路由处理模块自动将所述IP地址发送至网络运营商的路由黑洞;
步骤S1中所述监控模块还从所述网络系统数据中解析出DDoS攻击的攻击类型、攻击量级及攻击时间;
步骤S2中所述CNAME切换模块还在判断出符合切换条件后,自动切换所述站点的CNAME;
5.如权利要求4所述的自动防御方法,其特征在于,步骤S3之后还包括:S4、所述监控模块在监控到DDoS攻击停止时,调用所述CNAME切换模块自动执行回切操作,并调用所述黑洞路由处理模块自动将所述IP地址从所述路由黑洞中恢复正常。
6.如权利要求4所述的自动防御方法,其特征在于,步骤S1中所述监控模块还通过网页展示受到DDoS攻击的站点和IP地址、DDoS攻击的攻击类型、攻击量级及攻击时间。
DDoS攻击的自动防御系统及方法
技术领域
[0001] 本发明涉及一种网络安全技术领域,特别是涉及一种DDoS攻击的自动防御系统及方法。
背景技术
[0002] 分布式拒绝服务(DDoS,Distributed Denial of Service)攻击随着IT(互联网技术)及网络的发展演进,早已脱离了早期纯粹黑客行为的范畴,进而形成了完整的黑色产业链,其危害更是远超以往,近年来呈现攻击次数频繁和攻击量级变大的趋势。防御DDoS攻击的传统方法是在边界设备上做策略控制,手动切换CNAME(别名记录),手动做路由黑洞,这种方式在发现DDoS攻击、响应DDoS攻击方面需要大量人工操作,导致时效性无法满足高服务水平的要求。
发明内容
[0003] 本发明要解决的技术问题是为了克服现有技术中防御DDoS攻击的方式需要手动执行,导致时效性无法满足高服务水平的要求的缺陷,提供一种DDoS攻击的自动防御系统及方法。
[0004] 本发明是通过下述技术方案来解决上述技术问题的:
[0005] 本发明提供了一种DDoS攻击的自动防御系统,其特点在于,包括监控模块、CNAME切换模块以及黑洞路由处理模块:
[0006] 所述监控模块用于实时采集网络系统数据,并从所述网络系统数据中解析出受到DDoS攻击的站点和IP(网络之间互连的协议)地址;
[0007] 所述监控模块还用于将解析出的站点和IP地址发送至所述CNAME切换模块,所述CNAME切换模块用于自动切换所述站点的CNAME,并将所述IP地址发送至所述黑洞路由处理模块;
[0008] 所述黑洞路由处理模块用于自动将所述IP地址发送至网络运营商的路由黑洞。
[0009] 较佳地,所述监控模块还用于在监控到DDoS攻击停止时,调用所述CNAME切换模块自动执行回切操作,并调用所述黑洞路由处理模块自动将所述IP地址从所述路由黑洞中恢复正常。
[0010] 较佳地,所述监控模块还用于从所述网络系统数据中解析出DDoS攻击的攻击类型、攻击量级及攻击时间。
[0011] 较佳地,所述监控模块还用于通过网页展示受到DDoS攻击的站点和IP地址、DDoS攻击的攻击类型、攻击量级及攻击时间。
[0012] 较佳地,所述CNAME切换模块用于在判断出符合切换条件后,自动切换所述站点的CNAME;所述切换条件包括攻击量级达到支持的最大带宽。
[0013] 本发明的目的在于还提供了一种DDoS攻击的自动防御方法,其特点在于,其利用上述的自动防御系统实现,包括以下步骤:
[0014] S1、所述监控模块实时采集网络系统数据,并从所述网络系统数据中解析出受到DDoS攻击的站点和IP地址,并将解析出的站点和IP地址发送至所述CNAME切换模块;
[0015] S2、所述CNAME切换模块自动切换所述站点的CNAME,并将所述IP地址发送至所述黑洞路由处理模块;
[0016] S3、所述黑洞路由处理模块自动将所述IP地址发送至网络运营商的路由黑洞。
[0017] 较佳地,步骤S3之后还包括:
[0018] S4、所述监控模块在监控到DDoS攻击停止时,调用所述CNAME切换模块自动执行回切操作,并调用所述黑洞路由处理模块自动将所述IP地址从所述路由黑洞中恢复正常。
[0019] 较佳地,步骤S1中所述监控模块还从所述网络系统数据中解析出DDoS攻击的攻击类型、攻击量级及攻击时间。
[0020] 较佳地,步骤S1中所述监控模块还通过网页展示受到DDoS攻击的站点和IP地址、DDoS攻击的攻击类型、攻击量级及攻击时间。
[0021] 较佳地,步骤S2中所述CNAME切换模块还在判断出符合切换条件后,自动切换所述站点的CNAME;所述切换条件包括攻击量级达到支持的最大带宽。
[0022] 本发明的积极进步效果在于:本发明通过网络监控,可以自动化地切换CNAME和自动化地处理黑洞路由,从而实现对DDoS攻击的自动监测、快速识别和自动防御,避免了人工手动操作,可以做到DDoS攻击结束后的快速自动恢复,同时可以减少DDoS攻击处理时间,将DDoS攻击对网站造成的损失降到最低。
附图说明
[0023] 图1为本发明的较佳实施例的DDoS攻击的自动防御系统的模块示意图。
[0024] 图2为本发明的较佳实施例的DDoS攻击的自动防御方法的流程图。
具体实施方式
[0025] 下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
[0026] 如图1所示,本发明的DDoS攻击的自动防御系统包括监控模块1、CNAME切换模块2以及黑洞路由处理模块3。
[0027] 其中,所述监控模块1实时接收网络安全分析系统的消息,实时采集网络系统中的数据,并从网络系统数据中解析出受到DDoS攻击的网站的站点和IP地址;
[0028] 优选地,所述监控模块1还同时解析出DDoS攻击的攻击类型、攻击量级和攻击时间,并通过网页展示出来,还可以通过邮件、短信等方式发送到安全工程师等相关工作人员。
[0029] 所述监控模块1还将解析出的站点和IP地址、DDoS攻击的攻击类型、攻击量级和攻击时间发送至所述CNAME切换模块2,所述CNAME切换模块2则自动切换站点的CNAME,通过切换CNAME别名的方式,将受到DDoS攻击的网站的站点域名解析指向备用IDC(互联网数据中心)或分布式DDoS云防护系统;
[0030] 具体地,所述CNAME切换模块2会首先判断是否符合切换条件,并在判断出符合切换条件后,再执行自动切换站点的CNAME的操作,具体的切换条件可包括攻击量级达到线路支持的最大带宽等。
[0031] 在切换所述站点的CNAME后,所述CNAME切换模块2还将受到DDoS攻击的IP地址发送至所述黑洞路由处理模块3,所述黑洞路由处理模块3则自动将受到DDoS攻击的IP地址发送至网络运营商的路由黑洞,不做路由转发,避免后续的攻击流量带来的线路拥塞。
[0032] 在本发明中,优选地,所述监控模块1还会在监控到DDoS攻击停止时,调用所述CNAME切换模块2自动执行回切操作,并调用所述黑洞路由处理模块3自动将受到DDoS攻击的IP地址从所述黑洞路由中恢复正常,并可以通过邮件、短信等方式通知安全工程师等相关工作人员。
[0033] 如图2所示,本发明还提供了一种DDoS攻击的自动防御方法,利用上述的DDoS攻击的自动防御系统实现,所述自动防御方法包括以下步骤:
[0034] 步骤101、所述监控模块实时采集网络系统数据,并从所述网络系统数据中解析出受到DDoS攻击的站点和IP地址,并将解析出的站点和IP地址发送至所述CNAME切换模块;
[0035] 在步骤101中,优选地,所述监控模块还从所述网络系统数据中解析出DDoS攻击的攻击类型、攻击量级及攻击时间,所述监控模块还通过网页展示受到DDoS攻击的站点和IP地址、DDoS攻击的攻击类型、攻击量级及攻击时间。
[0036] 步骤102、所述CNAME切换模块自动切换所述站点的CNAME,并将所述IP地址发送至所述黑洞路由处理模块;
[0037] 具体即通过切换网络站点的CNAME别名的方式,将受到DDoS攻击的网站的站点域名解析指向备用IDC或分布式DDoS云防护系统,在步骤102中,优选地,所述CNAME切换模块还在判断出符合切换条件后,自动切换所述站点的CNAME;所述切换条件包括攻击量级达到支持的最大带宽等;
[0038] 步骤103、所述黑洞路由处理模块自动将所述IP地址发送至网络运营商的路由黑洞;
[0039] 具体地,通过将受到DDoS攻击的IP地址发送至网络运营商的路由黑洞,不做路由转发,避免后续的攻击流量带来的线路拥塞。
[0040] 步骤104、所述监控模块在监控到DDoS攻击停止时,调用所述CNAME切换模块自动执行回切操作,并调用所述黑洞路由处理模块自动将所述IP地址从所述路由黑洞中恢复正常。
[0041] 虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。
